導(dǎo)語(yǔ)：政務(wù)大數(shù)據(jù)開(kāi)放及共享問(wèn)題分析一文來(lái)源于網(wǎng)友上傳，不代表本站觀點(diǎn)，若需要原創(chuàng)文章可咨詢客服老師，歡迎參考。

摘要：政務(wù)大數(shù)據(jù)開(kāi)放與共享對(duì)于促進(jìn)政府自身轉(zhuǎn)型、社會(huì)需求獲取模式轉(zhuǎn)型及產(chǎn)業(yè)型經(jīng)濟(jì)轉(zhuǎn)型都具有重要意義。政府作為政務(wù)大數(shù)據(jù)的主要擁有者，在宏觀層面發(fā)揮公共管理與公共服務(wù)的導(dǎo)向作用時(shí)，也必須承擔(dān)相應(yīng)的責(zé)任。本文從政務(wù)大數(shù)據(jù)全生命周期管理角度出發(fā)，重點(diǎn)聚焦政務(wù)大數(shù)據(jù)在采集、傳輸、存儲(chǔ)、共享與應(yīng)用、銷毀等階段涉及的安全問(wèn)題并提出相應(yīng)解決思路和方法。

關(guān)鍵詞：政務(wù)大數(shù)據(jù)開(kāi)放及共享安全；數(shù)據(jù)全生命周期管理

國(guó)家高度重視政務(wù)大數(shù)據(jù)安全、開(kāi)放、共享工作。2021年9月發(fā)布的《中華人民共和國(guó)數(shù)據(jù)安全法》[1]明確提出，國(guó)家建立數(shù)據(jù)分類分級(jí)保護(hù)制度；建立集中統(tǒng)一、高效權(quán)威的數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估、報(bào)告、信息共享、監(jiān)測(cè)預(yù)警機(jī)制；建立數(shù)據(jù)安全應(yīng)急處置機(jī)制；建立數(shù)據(jù)安全審查制度；國(guó)家機(jī)關(guān)為履行法定職責(zé)的需要收集、使用數(shù)據(jù)；國(guó)家機(jī)關(guān)應(yīng)當(dāng)按照法律、行政法規(guī)的規(guī)定，建立健全數(shù)據(jù)安全管理制度，落實(shí)數(shù)據(jù)安全保護(hù)責(zé)任，保障政務(wù)數(shù)據(jù)安全。隨著政務(wù)大數(shù)據(jù)開(kāi)放、共享工作的有序推進(jìn)，數(shù)據(jù)的安全性問(wèn)題也日益突出，亟待開(kāi)展政務(wù)大數(shù)據(jù)開(kāi)放及共享安全問(wèn)題研究。政務(wù)大數(shù)據(jù)涉及國(guó)家利益、公共安全、商業(yè)秘密、個(gè)人隱私，具有高度敏感性。因此必須加強(qiáng)政務(wù)數(shù)據(jù)平臺(tái)的數(shù)據(jù)安全保障能力建設(shè)，打破數(shù)據(jù)孤島，促進(jìn)數(shù)據(jù)共享，以數(shù)據(jù)全生命周期的安全建設(shè)為核心建立政務(wù)大數(shù)據(jù)安全開(kāi)放及交換體系。下面從數(shù)據(jù)生命周期的五個(gè)階段分別闡述政務(wù)大數(shù)據(jù)開(kāi)放共享中所面臨的安全問(wèn)題及解決思路。

1數(shù)據(jù)采集

大數(shù)據(jù)時(shí)代，我們需要更加全面的數(shù)據(jù)來(lái)提高分析預(yù)測(cè)的準(zhǔn)確度，這就需要依賴于更多便捷和自動(dòng)的數(shù)據(jù)采集工具。然而，在政務(wù)大數(shù)據(jù)采集時(shí)將面臨以下幾類安全問(wèn)題：

1.1數(shù)據(jù)采集的合法性、正當(dāng)性、必要性

2021年11月1日，《中華人民共和國(guó)個(gè)人信息保護(hù)法》[2]正式施行，昭示著我國(guó)個(gè)人信息保護(hù)法制進(jìn)程即將進(jìn)入新篇章，將與《中華人民共和國(guó)網(wǎng)絡(luò)安全法》[3]和《中華人民共和國(guó)數(shù)據(jù)安全法》構(gòu)成我國(guó)網(wǎng)絡(luò)空間和數(shù)據(jù)保護(hù)的三駕馬車。處理個(gè)人信息，應(yīng)當(dāng)遵循“合法、正當(dāng)、必要”并不得過(guò)度處理個(gè)人信息采集的基本原則，并建立以“知情同意”為核心的個(gè)人信息處理系列規(guī)則。政務(wù)數(shù)據(jù)采集更需要秉持上述基本原則和規(guī)則體系，應(yīng)按照國(guó)家、省、市下發(fā)的政務(wù)信息資源目錄按需采集各部門特定的政務(wù)數(shù)據(jù)，禁止數(shù)據(jù)的過(guò)度采集及濫用。政府主管部門應(yīng)制定相關(guān)協(xié)議約定數(shù)據(jù)使用和保護(hù)措施，明確數(shù)據(jù)提供方、使用方雙方的責(zé)任和義務(wù)。

1.2采集終端的安全性

采集終端如果缺少必要的安全防護(hù)或身份認(rèn)證手段，會(huì)給一些假冒的、非授權(quán)的采集設(shè)備接入網(wǎng)絡(luò)，從而偽裝成合法用戶非法監(jiān)聽(tīng)、竊取甚至篡改政務(wù)數(shù)據(jù)。因此，采集終端設(shè)備的注冊(cè)、認(rèn)證、準(zhǔn)入控制和惡意程序防護(hù)，采集人員身份、權(quán)限的認(rèn)證顯得尤為重要。建議通過(guò)終端殺毒及惡意代碼檢測(cè)軟件、準(zhǔn)入網(wǎng)關(guān)、密碼、密鑰、令牌、手機(jī)短信等多因子認(rèn)證、數(shù)字簽名技術(shù)、建立統(tǒng)一身份認(rèn)證系統(tǒng)、零信任安全等技術(shù)手段來(lái)加強(qiáng)對(duì)終端可信度及訪問(wèn)權(quán)限的管控。達(dá)鈺鵬、陳艷春[4]提出的基于零信任模型的電子政務(wù)信息共享方案，是一種基于身份、訪問(wèn)權(quán)限更細(xì)粒度的訪問(wèn)控制方法，能夠?qū)崿F(xiàn)對(duì)資源本身全生命周期的動(dòng)態(tài)監(jiān)測(cè)預(yù)警。同時(shí)，在身份及權(quán)限認(rèn)證通過(guò)后，應(yīng)向數(shù)據(jù)需求方發(fā)起特定數(shù)據(jù)項(xiàng)或數(shù)據(jù)集的申請(qǐng)，并明確數(shù)據(jù)使用期限，上傳需要數(shù)據(jù)共享的文件或依據(jù)。待數(shù)據(jù)提供方同意后方能繼續(xù)共享交換，這是政務(wù)數(shù)據(jù)開(kāi)放、共享、傳輸?shù)那疤岷突A(chǔ)。

1.3數(shù)據(jù)分類分級(jí)保護(hù)

數(shù)據(jù)分類分級(jí)在數(shù)據(jù)采集、數(shù)據(jù)治理過(guò)程中至關(guān)重要，是數(shù)據(jù)重要性的直觀化展示。例如，可以將政務(wù)數(shù)據(jù)資源分為基礎(chǔ)政務(wù)數(shù)據(jù)資源與業(yè)務(wù)數(shù)據(jù)資源兩大類，其中基礎(chǔ)政務(wù)數(shù)據(jù)可繼續(xù)細(xì)分為人口、法人、電子證照、社會(huì)信用、自然資源和空間地理等信息，業(yè)務(wù)數(shù)據(jù)資源則可以依托各行業(yè)領(lǐng)域，細(xì)分為經(jīng)濟(jì)運(yùn)行、政務(wù)運(yùn)行、電子檔案、公共安全、公共服務(wù)類等主題數(shù)據(jù)。從各政務(wù)部門數(shù)據(jù)分析歸類邏輯上，又可分為決策類、業(yè)務(wù)類、管理類等不同層次，再對(duì)每個(gè)層次生存的政務(wù)數(shù)據(jù)進(jìn)行有效識(shí)別及標(biāo)記等級(jí)，確定政務(wù)數(shù)據(jù)資源的編碼、名稱、類型、管理方式等信息，為后續(xù)的政務(wù)數(shù)據(jù)整理與目錄編制提供支撐。只有提前做好數(shù)據(jù)的分類分級(jí)，才能有針對(duì)性地對(duì)結(jié)構(gòu)化、非結(jié)構(gòu)化、不同類別的數(shù)據(jù)進(jìn)行分類識(shí)別、保護(hù)。同時(shí)，利用大數(shù)據(jù)及云計(jì)算能力，根據(jù)各政府部門行業(yè)內(nèi)政務(wù)應(yīng)用需求，按照部門、主題、服務(wù)對(duì)象等資源屬性對(duì)政務(wù)數(shù)據(jù)進(jìn)行智能化管理，由系統(tǒng)自動(dòng)生成不同的政務(wù)數(shù)據(jù)目錄。

1.4數(shù)據(jù)采集的安全邊界

政府部門目前仍存在各類業(yè)務(wù)專網(wǎng)，政務(wù)系統(tǒng)及相關(guān)數(shù)據(jù)也大多部署在業(yè)務(wù)專網(wǎng)內(nèi)。在逐步整合進(jìn)國(guó)家政務(wù)外網(wǎng)或政務(wù)內(nèi)網(wǎng)的過(guò)渡期內(nèi)，跨網(wǎng)絡(luò)、跨部門數(shù)據(jù)采集時(shí)應(yīng)按照網(wǎng)絡(luò)安全等級(jí)保護(hù)規(guī)范及相關(guān)部門跨網(wǎng)數(shù)據(jù)交換的標(biāo)準(zhǔn)建立相應(yīng)跨網(wǎng)數(shù)據(jù)安全交換區(qū)域。通過(guò)部署前置服務(wù)器、安全邊界設(shè)備，安全流量探針等方式實(shí)現(xiàn)數(shù)據(jù)跨網(wǎng)安全及態(tài)勢(shì)感知。應(yīng)在上述跨網(wǎng)數(shù)據(jù)交換安全設(shè)備中嚴(yán)格制定訪問(wèn)策略，對(duì)跨網(wǎng)數(shù)據(jù)交換進(jìn)行細(xì)粒度的身份、權(quán)限訪問(wèn)控制及審計(jì)追溯。同時(shí)，數(shù)據(jù)采集部門應(yīng)與數(shù)據(jù)提供部門明確雙方的權(quán)責(zé)邊界，簽訂數(shù)據(jù)安全交換協(xié)議，并通過(guò)網(wǎng)絡(luò)入侵檢測(cè)防御系統(tǒng)、態(tài)勢(shì)感知系統(tǒng)、沙箱蜜罐系統(tǒng)等安全防護(hù)設(shè)備及軟件對(duì)數(shù)據(jù)采集的過(guò)程進(jìn)行實(shí)時(shí)監(jiān)測(cè)預(yù)警，確保在數(shù)據(jù)采集的過(guò)程中，能夠做到事件可追溯、問(wèn)題可排查、責(zé)任不推諉。

2數(shù)據(jù)傳輸

政務(wù)數(shù)據(jù)在傳輸時(shí)應(yīng)重點(diǎn)保障其完整性、可用性、真實(shí)性、保密性和不可篡改性，通常會(huì)采用零信任技術(shù)、安全網(wǎng)絡(luò)協(xié)議、對(duì)稱或非對(duì)稱加密機(jī)制、數(shù)字簽名技術(shù)、區(qū)塊鏈技術(shù)等手段增強(qiáng)數(shù)據(jù)傳輸時(shí)的安全性、可靠性。

2.1數(shù)據(jù)傳輸安全

政務(wù)數(shù)據(jù)的重要性、敏感性大大提高了在傳輸過(guò)程中被竊聽(tīng)、被冒充、被篡改、事后否認(rèn)的可能性，因此采用加密的傳輸通道及技術(shù)手段顯得尤為重要。在應(yīng)對(duì)竊聽(tīng)問(wèn)題上，會(huì)使用到加密技術(shù)；在應(yīng)對(duì)假冒、篡改問(wèn)題上，會(huì)使用到消息驗(yàn)證碼或數(shù)字簽名技術(shù)；在應(yīng)對(duì)事后否認(rèn)問(wèn)題上，會(huì)使用到數(shù)字簽名技術(shù)。同時(shí)，在數(shù)據(jù)傳輸過(guò)程中應(yīng)采用數(shù)據(jù)傳輸安全協(xié)議（SSL/TLS）和可信證書(shū)認(rèn)證機(jī)制，這同時(shí)也要求證書(shū)頒發(fā)機(jī)構(gòu)在頒發(fā)證書(shū)時(shí)，有義務(wù)維護(hù)其認(rèn)證站點(diǎn)的權(quán)威性和安全性，在證書(shū)過(guò)期時(shí)應(yīng)立即撤銷，否則易遭受“中間人攻擊”，惡意節(jié)點(diǎn)會(huì)通過(guò)持有非法證書(shū)和客戶端交互，之后替代客戶端，向真實(shí)服務(wù)器發(fā)起請(qǐng)求，并把服務(wù)器的請(qǐng)求返回給客戶端，從而神不知鬼不覺(jué)地竊取了中間信息。數(shù)據(jù)傳輸?shù)陌踩褪峭ㄟ^(guò)上述安全技術(shù)及協(xié)議保障數(shù)據(jù)點(diǎn)到點(diǎn)、端對(duì)端的安全傳輸。

2.2時(shí)間戳及限流機(jī)制

政務(wù)數(shù)據(jù)在傳輸過(guò)程中很容易被第三方程序抓包，雖然經(jīng)過(guò)上述提到的加密處理方式無(wú)法獲取到真實(shí)數(shù)據(jù)，但仍有可能被黑客利用發(fā)起重放攻擊。為避免上述問(wèn)題發(fā)生，應(yīng)采用時(shí)間戳機(jī)制，在每次發(fā)起請(qǐng)求中加入當(dāng)前時(shí)間，服務(wù)端將比對(duì)當(dāng)前時(shí)間和消息中的時(shí)間，當(dāng)超過(guò)規(guī)定的時(shí)間范圍后自動(dòng)歸為非法請(qǐng)求。當(dāng)用戶頻繁調(diào)用接口網(wǎng)絡(luò)吞吐量過(guò)大時(shí)，會(huì)發(fā)生網(wǎng)絡(luò)通道堵塞，甚至影響服務(wù)端的正常響應(yīng)，這時(shí)應(yīng)采取必要的限流算法，例如：計(jì)數(shù)器、漏桶、令牌桶等限制巨大流量信息的瞬間提交。

2.3區(qū)塊鏈技術(shù)

現(xiàn)有的政務(wù)系統(tǒng)都是中心化架構(gòu)系統(tǒng)，很容易在傳輸過(guò)程中出現(xiàn)數(shù)據(jù)偽造篡改的問(wèn)題，一旦發(fā)生違法違規(guī)事件，證據(jù)的缺失將給調(diào)查取證帶來(lái)困難。區(qū)塊鏈技術(shù)采用去中心化的方式，具有透明可信、不可篡改、可追溯等特性，能夠有效解決上述痛點(diǎn)難點(diǎn)問(wèn)題。區(qū)塊鏈系統(tǒng)根據(jù)應(yīng)用場(chǎng)景和設(shè)計(jì)體系的不同，分為公有鏈、聯(lián)盟鏈和私有鏈。政務(wù)大數(shù)據(jù)共享涉及多個(gè)政府委辦局，各個(gè)單位都具有明確的行政職責(zé)，因此建議選擇基于領(lǐng)導(dǎo)型成員治理方式的聯(lián)盟鏈技術(shù)，這樣產(chǎn)生的數(shù)據(jù)更具權(quán)威性。歐陽(yáng)光、石秀偉、趙冬臨[5]從區(qū)塊鏈應(yīng)用場(chǎng)景、治理模式、頂層框架設(shè)計(jì)、開(kāi)發(fā)技術(shù)路線及核心策略設(shè)計(jì)等方面進(jìn)行了闡述，為解決政務(wù)數(shù)據(jù)共享難、使用監(jiān)管難、數(shù)據(jù)安全難以保證等問(wèn)題提供了解決方案。

3數(shù)據(jù)存儲(chǔ)

政務(wù)數(shù)據(jù)在應(yīng)考慮存儲(chǔ)介質(zhì)的穩(wěn)定性、可靠性，盡最大限度避免因物理?yè)p壞、人為因素、自然災(zāi)害所導(dǎo)致的數(shù)據(jù)丟失、篡改、不可用等情況發(fā)生。同時(shí)也要保障政務(wù)數(shù)據(jù)共享交換平臺(tái)的數(shù)據(jù)庫(kù)數(shù)據(jù)不被泄露、篡改和刪除，通過(guò)數(shù)據(jù)加密、權(quán)限管控、數(shù)據(jù)安全網(wǎng)關(guān)等技術(shù)方式實(shí)現(xiàn)。

3.1入庫(kù)數(shù)據(jù)的質(zhì)量安全

當(dāng)數(shù)據(jù)源信息重復(fù)、不完整、不準(zhǔn)確，進(jìn)入五大基礎(chǔ)數(shù)據(jù)庫(kù)（人口庫(kù)、法人庫(kù)、電子證照、社會(huì)信用、自然資源和空間地理）前又未清洗、校驗(yàn)、二次確認(rèn)，會(huì)大幅降低政務(wù)大數(shù)據(jù)整體工作效率，甚至引發(fā)社會(huì)公眾對(duì)政府?dāng)?shù)據(jù)的信任危機(jī)。這就需要建立統(tǒng)一的數(shù)據(jù)質(zhì)量標(biāo)準(zhǔn)。田淼、田繼亮[5]設(shè)計(jì)的基于數(shù)據(jù)標(biāo)準(zhǔn)體系的政務(wù)數(shù)據(jù)清洗融合系統(tǒng)，通過(guò)配置相應(yīng)的SQL規(guī)則、值域規(guī)則、正則規(guī)則等數(shù)據(jù)質(zhì)量稽查規(guī)則，對(duì)數(shù)據(jù)的重復(fù)性、準(zhǔn)確性、時(shí)效性等指標(biāo)進(jìn)行數(shù)據(jù)稽查，生成質(zhì)量評(píng)分。同時(shí)，可借助數(shù)據(jù)清理規(guī)則（包括字典映射、數(shù)據(jù)格式轉(zhuǎn)換、潛在數(shù)據(jù)提取、業(yè)務(wù)數(shù)據(jù)核驗(yàn)、數(shù)據(jù)關(guān)聯(lián)等）和ETL工具等技術(shù)方法對(duì)部分可恢復(fù)數(shù)據(jù)進(jìn)行修復(fù)。對(duì)于不可用技術(shù)手段修復(fù)的數(shù)據(jù)，應(yīng)及時(shí)通過(guò)數(shù)據(jù)工單形式進(jìn)行數(shù)據(jù)溯源的人工修復(fù)。

3.2存儲(chǔ)介質(zhì)及容災(zāi)備份的可靠性

對(duì)于PB級(jí)的海量政務(wù)大數(shù)據(jù)系統(tǒng)而言，單純的硬件容錯(cuò)已經(jīng)很難確保其可靠性。為保障數(shù)據(jù)存儲(chǔ)的穩(wěn)定性、可靠性，應(yīng)按實(shí)際需求選擇相應(yīng)的RAID技術(shù)、分布式文件系統(tǒng)多副本技術(shù)、容錯(cuò)池技術(shù)等。同時(shí)，通過(guò)數(shù)據(jù)庫(kù)同步及高可用技術(shù)實(shí)現(xiàn)“兩地三中心”的系統(tǒng)主備雙活并做好跨機(jī)房的容災(zāi)備份，在遭遇網(wǎng)絡(luò)及病毒攻擊、導(dǎo)致網(wǎng)絡(luò)故障或系統(tǒng)癱瘓時(shí)可以迅速切換主備系統(tǒng)，更換網(wǎng)絡(luò)出口，或采用主流災(zāi)備廠家的CDP技術(shù)應(yīng)急接管系統(tǒng)，待故障解決、系統(tǒng)、數(shù)據(jù)還原后再切換回主業(yè)務(wù)系統(tǒng)。

3.3數(shù)據(jù)庫(kù)加密及密鑰管理

為防止內(nèi)部運(yùn)維人員登錄數(shù)據(jù)庫(kù)通過(guò)記錄、截屏、錄頻、拍屏、打印等方式泄露政府敏感數(shù)據(jù)，應(yīng)充分利用密鑰管理系統(tǒng)來(lái)實(shí)現(xiàn)對(duì)政務(wù)大數(shù)據(jù)共享交換平臺(tái)數(shù)據(jù)庫(kù)的加密解密，上述加解密過(guò)程應(yīng)做到對(duì)系統(tǒng)透明無(wú)感知，不影響數(shù)據(jù)交換效率。對(duì)不同層級(jí)的人員進(jìn)行權(quán)限分級(jí)管控，只有合法、合規(guī)的使用者才能訪問(wèn)、獲取到自身權(quán)限范圍內(nèi)的數(shù)據(jù)源。密鑰管理就是管理密鑰從產(chǎn)生到銷毀的過(guò)程，包括密鑰的產(chǎn)生、存儲(chǔ)、分配、保護(hù)、更新、吊銷和銷毀等。在這一系列的過(guò)程中，都存在安全隱患威脅系統(tǒng)的密鑰安全，如果密鑰管理不好，即使加密算法強(qiáng)度再高，一旦被泄露或被竊取，加密也就形同虛設(shè)，毫無(wú)安全性可言。因此，密鑰管理在數(shù)據(jù)庫(kù)加密系統(tǒng)中也處于舉足輕重的地位。數(shù)據(jù)庫(kù)加密系統(tǒng)的密鑰分為用戶密鑰和數(shù)據(jù)密鑰，數(shù)據(jù)密鑰由分為主密鑰和工作密鑰兩類。主密鑰就是用來(lái)加密/解密數(shù)據(jù)密鑰的密鑰，工作密鑰用于對(duì)數(shù)據(jù)庫(kù)表、記錄、數(shù)據(jù)項(xiàng)加密/解密的密鑰。密鑰存儲(chǔ)的過(guò)程中，可根據(jù)密鑰重要性及數(shù)據(jù)量大小，自主選擇密碼裝置、密文形式的數(shù)據(jù)字典進(jìn)行保存。當(dāng)政務(wù)云環(huán)境下的數(shù)據(jù)庫(kù)停用或數(shù)據(jù)刪除時(shí)，應(yīng)保證從密鑰管理系統(tǒng)中廢除所有密鑰，以確保任何殘留（數(shù)據(jù)冗余備份、內(nèi)存殘留、操作系統(tǒng)殘留等）的政務(wù)數(shù)據(jù)都不能被解密。

3.4日志、數(shù)據(jù)庫(kù)以及云審計(jì)

服務(wù)器日志審計(jì)、數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)的應(yīng)用既是等保合規(guī)的必查項(xiàng)目，也是保障服務(wù)器、數(shù)據(jù)庫(kù)操作留痕、可追溯的重要技術(shù)手段。服務(wù)器、數(shù)據(jù)庫(kù)審計(jì)除了能對(duì)基本的應(yīng)用訪問(wèn)行為實(shí)時(shí)監(jiān)控，追溯訪問(wèn)來(lái)源定位終端用戶信息外，還能有效針對(duì)越權(quán)高危行為、外部SQL注入、緩沖區(qū)溢出、權(quán)限提升、拒絕服務(wù)攻擊等危險(xiǎn)行為實(shí)時(shí)監(jiān)控預(yù)警，提醒管理員用戶及時(shí)發(fā)現(xiàn)可疑行為，并采取有效安全手段，防范安全風(fēng)險(xiǎn)。同時(shí)，在角色劃分方面，應(yīng)按照最小特權(quán)和權(quán)值分離為原則對(duì)系統(tǒng)管理員、安全保密管理員、安全審計(jì)管理員進(jìn)行三員管理、三權(quán)分立，相互監(jiān)督。王會(huì)金，劉國(guó)城[7]提出的大數(shù)據(jù)時(shí)代電子政務(wù)云安全審計(jì)框架，從基礎(chǔ)層、應(yīng)用層和體系層三個(gè)層面為建立科學(xué)、可行的標(biāo)準(zhǔn)化電子政務(wù)云安全審計(jì)體系提供了理論支撐和實(shí)踐參考。

4數(shù)據(jù)共享及應(yīng)用

數(shù)據(jù)共享及應(yīng)用會(huì)經(jīng)歷數(shù)據(jù)的匯聚、傳輸、存儲(chǔ)、應(yīng)用、API接口的調(diào)用等過(guò)程，同時(shí)也將面臨更大的安全風(fēng)險(xiǎn)，包括政府、商業(yè)及個(gè)人敏感信息的泄露、數(shù)據(jù)的非法篡改和濫用、網(wǎng)絡(luò)上黑客的攻擊等。為降低政務(wù)數(shù)據(jù)在共享應(yīng)用上的風(fēng)險(xiǎn)，一方面需要政府及相關(guān)責(zé)任單位制定并實(shí)施數(shù)據(jù)安全管控辦法，包括立法、立制、立標(biāo)等；另一方面需要通過(guò)技術(shù)手段保障數(shù)據(jù)共享全程的可檢測(cè)、可管控、可追溯。

4.1數(shù)據(jù)共享安全管理制度

對(duì)數(shù)據(jù)共享的安全管控，不僅要健全國(guó)家法律法規(guī)，還要依法依規(guī)、因地制宜地建設(shè)配套的、系統(tǒng)的數(shù)據(jù)安全管理制度。管理制度的設(shè)計(jì)要上承國(guó)家法律法規(guī)要求，下接地方或行業(yè)標(biāo)準(zhǔn)，確保數(shù)據(jù)共享組織管理機(jī)構(gòu)職責(zé)明確、數(shù)據(jù)共享活動(dòng)流程清晰、數(shù)據(jù)共享過(guò)程安全可控和監(jiān)管有效。

4.2數(shù)據(jù)共享交換平臺(tái)安全

大數(shù)據(jù)共享交換平臺(tái)是政務(wù)數(shù)據(jù)交換互聯(lián)互通的基礎(chǔ)支撐平臺(tái)，通過(guò)建設(shè)基礎(chǔ)數(shù)據(jù)庫(kù)、信息資源目錄系統(tǒng)、數(shù)據(jù)采集交換系統(tǒng)、信息資源共享服務(wù)系統(tǒng)、數(shù)據(jù)管理平臺(tái)、安全標(biāo)準(zhǔn)體系等，整合信息資源，打破數(shù)據(jù)壁壘和信息孤島，實(shí)現(xiàn)對(duì)城市領(lǐng)域可共享數(shù)據(jù)的統(tǒng)一建設(shè)、統(tǒng)一流通、統(tǒng)一維護(hù)，成為城市公共數(shù)據(jù)交換、清洗、整合和加工的智慧工廠。圖1政務(wù)數(shù)據(jù)共享交換平臺(tái)體系架構(gòu)圖。圖2為國(guó)家、省、市政務(wù)數(shù)據(jù)級(jí)聯(lián)交換圖。平臺(tái)的安全性也至關(guān)重要，應(yīng)根據(jù)《中華人民共和國(guó)網(wǎng)絡(luò)安全法》規(guī)定，對(duì)關(guān)鍵基礎(chǔ)性信息系統(tǒng)分級(jí)實(shí)施保護(hù)，將共享交換平臺(tái)系統(tǒng)的定級(jí)、備案、建設(shè)整改、登記測(cè)評(píng)和監(jiān)督檢查5個(gè)常規(guī)動(dòng)作，貫穿平臺(tái)的全生命周期。

4.3數(shù)據(jù)共享全流程監(jiān)控預(yù)警

針對(duì)數(shù)據(jù)共享過(guò)程中數(shù)據(jù)泄露之后無(wú)法追溯的痛點(diǎn)，應(yīng)建立完備的共享數(shù)據(jù)溯源系統(tǒng)。張濤[8]提出的一種基于數(shù)據(jù)標(biāo)簽的共享數(shù)據(jù)溯源方法，通過(guò)數(shù)據(jù)溯源管理系統(tǒng)和數(shù)據(jù)標(biāo)簽分發(fā)中心相互配合，在數(shù)據(jù)標(biāo)簽分發(fā)中心分發(fā)給系統(tǒng)數(shù)據(jù)標(biāo)簽信息的同時(shí)，將數(shù)據(jù)標(biāo)簽同步發(fā)送給數(shù)據(jù)溯源管理系統(tǒng)。數(shù)據(jù)溯源管理系統(tǒng)可通過(guò)在數(shù)據(jù)傳輸鏈路上的探針實(shí)時(shí)采集數(shù)據(jù)信息流，在剔除正常業(yè)務(wù)交互信息流的情況下，依據(jù)數(shù)據(jù)共享規(guī)則庫(kù)和數(shù)據(jù)標(biāo)簽位置信息實(shí)時(shí)發(fā)現(xiàn)非法的數(shù)據(jù)共享。

4.4數(shù)據(jù)防泄露、身份防偽造

在數(shù)據(jù)應(yīng)用安全上，如果政務(wù)數(shù)據(jù)被提前或非法泄露將嚴(yán)重威脅到用戶隱私甚至政府公信度、國(guó)家安全。這就需要通過(guò)數(shù)據(jù)安全檢測(cè)分析、數(shù)據(jù)安全網(wǎng)關(guān)、零信任安全等技術(shù)手段保障敏感數(shù)據(jù)的安全。如圖2所示，零信任可信應(yīng)用接入代理可用于用戶終端和業(yè)務(wù)應(yīng)用之間的安全訪問(wèn)，具有傳輸加密功能，應(yīng)用代理、頁(yè)面水印、動(dòng)態(tài)脫敏及日志審計(jì)等相關(guān)功能。只有通過(guò)統(tǒng)一授權(quán)的認(rèn)證中心或安全網(wǎng)關(guān)為其授權(quán)后才允許進(jìn)入政務(wù)數(shù)據(jù)共享交換平臺(tái)，這樣能夠有效阻截非法、惡意的請(qǐng)求。其中，堡壘機(jī)作為可信運(yùn)維代理，用于運(yùn)維用戶終端、開(kāi)發(fā)人員終端和系統(tǒng)資源之間的安全訪問(wèn)。堡壘機(jī)提供相應(yīng)的對(duì)接接口供零信任安全管控平臺(tái)做定制開(kāi)發(fā)，最終讓零信任安全管控平臺(tái)實(shí)現(xiàn)運(yùn)維操作日志、終端會(huì)話信息同步，并接受零信任安全管控平臺(tái)下發(fā)的動(dòng)態(tài)鑒權(quán)訪問(wèn)控制指令。同時(shí)，通過(guò)API旁路監(jiān)測(cè)行為，可以實(shí)現(xiàn)對(duì)訪問(wèn)行為、頁(yè)面訪問(wèn)頻次及敏感信息訪問(wèn)的實(shí)時(shí)監(jiān)測(cè)。

5數(shù)據(jù)銷毀

數(shù)據(jù)可以是資產(chǎn)，也可能是負(fù)債。如果不及時(shí)銷毀在數(shù)據(jù)共享交換過(guò)程中多余、殘留的數(shù)據(jù)，數(shù)據(jù)資產(chǎn)就演變成了負(fù)債。隨著政務(wù)大數(shù)據(jù)規(guī)模的不斷膨脹，無(wú)用、多余的數(shù)據(jù)長(zhǎng)期得不到釋放、清理，將嚴(yán)重影響到業(yè)務(wù)數(shù)據(jù)的實(shí)時(shí)查詢效率、業(yè)務(wù)運(yùn)營(yíng)水平。及時(shí)對(duì)無(wú)用數(shù)據(jù)進(jìn)行銷毀，不僅可以節(jié)省存儲(chǔ)空間，節(jié)約運(yùn)營(yíng)成本，提高交換效率，還可以提升安全性，避免某些敏感數(shù)據(jù)的泄露及追溯性攻擊[9]。因此，應(yīng)當(dāng)及時(shí)建立起定期對(duì)無(wú)用、多余政務(wù)數(shù)據(jù)的清理和審查制度。

5.1數(shù)據(jù)銷毀方法及適用范圍

數(shù)據(jù)銷毀的手段一般分為硬銷毀和軟銷毀兩種。軟銷毀是通過(guò)數(shù)據(jù)刪除格式化或數(shù)據(jù)重寫等軟件方法將數(shù)據(jù)銷毀或擦除，如美國(guó)國(guó)防部的DOD5220.22-M標(biāo)準(zhǔn)[10]便是通過(guò)多達(dá)7次的重寫達(dá)到銷毀作用，目前主流的重寫算法還有RCMPTSSITOPS-Ⅱ標(biāo)準(zhǔn)[11]以及Gutmann數(shù)據(jù)35次重寫算法[12][13]。硬銷毀則是采用物理、化學(xué)方法直接銷毀存儲(chǔ)介質(zhì)，以達(dá)到徹底將硬盤數(shù)據(jù)銷毀的目的。軟銷毀適用于密級(jí)要求不是很高的場(chǎng)合，數(shù)據(jù)覆寫較為經(jīng)濟(jì)安全，但仍有被他人刻意恢復(fù)的風(fēng)險(xiǎn)。硬銷毀則適用于高密級(jí)要求的場(chǎng)景，銷毀后硬盤將無(wú)法繼續(xù)使用。同時(shí)，國(guó)家保密局已經(jīng)制定頒發(fā)了強(qiáng)制標(biāo)準(zhǔn)《涉及國(guó)家秘密的載體銷毀與信息消除安全保密要求》[14]，對(duì)于涉密載體的銷毀一定要遵照此標(biāo)準(zhǔn)執(zhí)行，不可心存僥幸，擅自處理。

5.2云計(jì)算中的數(shù)據(jù)自我銷毀技術(shù)

除了人工可控的數(shù)據(jù)銷毀方法外，目前研究者也將關(guān)注點(diǎn)放在如何提高銷毀效率以及自動(dòng)進(jìn)行數(shù)據(jù)銷毀等技術(shù)上。隨著各地政府相繼建立政務(wù)云平臺(tái)，政務(wù)數(shù)據(jù)上云后往往以靜態(tài)存儲(chǔ)或動(dòng)態(tài)計(jì)算兩種方式存在。在靜態(tài)存儲(chǔ)時(shí)，它們往往會(huì)拷貝多份副本文件或備份文件以容錯(cuò)容災(zāi)；在動(dòng)態(tài)運(yùn)行時(shí)，他們可能存在于內(nèi)存、網(wǎng)絡(luò)或磁盤緩存等介質(zhì)中。如果沒(méi)有一定的技術(shù)手段及自我數(shù)據(jù)銷毀協(xié)議支撐，用戶無(wú)法保證無(wú)用的數(shù)據(jù)被徹底銷毀。Boneh等人[15]提出了一種不銷毀數(shù)據(jù)本身而銷毀加密數(shù)據(jù)密鑰的方式實(shí)現(xiàn)數(shù)據(jù)的不可訪問(wèn)，首次將數(shù)據(jù)銷毀問(wèn)題轉(zhuǎn)移至密鑰銷毀問(wèn)題，這種方案可大大提升數(shù)據(jù)銷毀的性能。同樣，Peterson等人[16]在數(shù)據(jù)塊層使用全有或全無(wú)的轉(zhuǎn)換技術(shù)（AllOrNothingTransform，AONT）來(lái)實(shí)施數(shù)據(jù)銷毀。通過(guò)AONT算法生成數(shù)據(jù)塊且重寫其中任意一部分?jǐn)?shù)據(jù)塊就會(huì)使得整個(gè)數(shù)據(jù)都不可用，達(dá)到數(shù)據(jù)銷毀的目的。這些方法為遠(yuǎn)程數(shù)據(jù)銷毀技術(shù)提供了很好的理論支撐。盧張逢喆，陳進(jìn)等人提出了Dissolver的可信計(jì)算系統(tǒng)模型[17]，該模型基于Xen[18]虛擬機(jī)監(jiān)控器和CHAOS[19][20]系統(tǒng)，保證了敏感數(shù)據(jù)只存在于私密的運(yùn)行空間中，用戶密鑰只存在于虛擬機(jī)監(jiān)控器的內(nèi)存空間中，不能被操作系統(tǒng)或其他程序訪問(wèn)。同時(shí)，設(shè)計(jì)了一種數(shù)據(jù)銷毀協(xié)議，將敏感數(shù)據(jù)生存時(shí)間達(dá)到用戶指定的時(shí)限或未達(dá)到時(shí)限但用戶顯示發(fā)送數(shù)據(jù)銷毀命令時(shí)，內(nèi)存中的數(shù)據(jù)、關(guān)聯(lián)的備份文件以及用戶密鑰被強(qiáng)制銷毀。該模型首次提出云端數(shù)據(jù)的全生命周期保護(hù)和自我銷毀框架和協(xié)議，為建立軟件層面的可信計(jì)算基礎(chǔ)提供了參考。只有在云計(jì)算環(huán)境中建立起一套切實(shí)可行、安全可靠的自動(dòng)化數(shù)據(jù)銷毀機(jī)制，在保證安全性的同時(shí)降低性能方面的消耗，才能使用戶獲得真正的數(shù)據(jù)掌控權(quán)及支配權(quán)。

作者：朱海濤 單位：鎮(zhèn)江市市域社會(huì)治理現(xiàn)代化指揮中心